JobsPresseNutzungsbedingungenDatenschutzImpressum

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Transparentes HTTPS-Proxying mit Chromium-Browsern

Mit dem Update auf Chromium 124 ist es auf Chromium basierenden Browsern wie Chrome oder Edge nicht mehr möglich gewesen, mittels transprentem HTTPS-Proxying auf Internet-Seiten zuzugreifen.

Beschädigte Header im S/MIME-Gateway

In Version 7.2-1.5 wurde beim Ändern langer Betreff-Zeilen und des Content-Types ein Steuerzeichen eingefügt, das manchen Systemen dazu geführt hat, dass der Betreff abgeschnitten oder die verschlüsselte Mail nicht gelesen werden konnte.

Automatische Zertifikatsverwaltung

Kunden mit Bedarf an vielen Kauf-Zertifikaten (z.B. bei Nutzung des S/MIME-Gateways) können Zertifikate nun über die Managed-PKI-Schnittstelle (MPKI) einer CA automatisiert beantragen und verlängern. Die Funktion ist noch als experimentell anzusehen und unterstützt aktuell nur die CA SwissSign. Gerne fügen wir weitere CAs hinzu. Dazu benötigen wir die Schnittstellenbeschreibung und einen Testzugang.

Neue Kategorien im kommerziellen URL-Filter

Hinzugefügt wurden die Kategorien Alkohol, weiche Drogen, geparkte Domains und KI-Chats.

Sicherheitslücken in diversen Komponenten

Das Update behebt weniger kritische Sicherheitslücken im Linux-Kernel, IPsec-Server, Web-Proxy, DNS, Java und in System-Bibliotheken.

Avira Antivirus

Kleinere Bugfixes und Verbesserungen

DMARC-Verifikation von eingehenden Mails

Neben SPF können per SMTP aus dem Internet empfangene Mails nun auch über DMARC verifiziert werden. DMARC kombiniert SPF mit DKIM. Die Prüfung ist erfolgreich, wenn entweder SPF oder DKIM erfolgreich geprüft werden konnten und zusätzlich der im Mailprogramm angezeigte Absender (From-Header) zur SPF- bzw. DKIM-Domain passt. Wie bei SPF entscheidet der Inhaber einer Domain, ob Empfänger von Mails aus seiner Domain überhaupt eine DMARC-Verifikation durchführen können und was im Fehlerfall zu tun ist: die Mail abweisen, als potentiellen SPAM behandeln oder einfach passieren lassen.

Optionen zur Abholung und zum Versand von Mails

Zur Unterstützung von Arztpraxen, die die Schutzfunktionen des Mail-Servers gegen Schadsoftware auch für die Kommunikation mit KIM (Kommunikation im Medizinwesen) nutzen wollen, wurden diverse Konfigurationsoptionen ergänzt. Damit sollte eine Verbindung mit allen Varianten und Konfigurationen von KIM-Clientmodulen möglich sein. Im POP-Client lässt sich nun ein Client-Zertifikat hinterlegen und der Server-Port (hier: Port des KIM-Clientmodul) frei konfigurieren. Für den Versand von Mails ist ebenfalls der Server-Port (KIM-Clientmodul) frei konfigurierbar. Zudem wird nun auch für ausgehende Verbindungen SMTPS unterstützt und beim Routing einer externen Domain (hier: kim.telematik) lassen sich Zugangsdaten hinterlegen.

Automatisches Mailbackup je Benutzer

Das Backup der lokalen Postfächer konnte bisher nur als eine große Datei erstellt werden. Um bei der Erstellung des Backups weniger Speicherplatz zu benötigen, ist jetzt auch eine Datei pro Benutzerkonto möglich.

Verbindungsabbrüche bei Windows-IKEv2 IPsec-Verbindungen

Beim Re-Keying, das typischerweise nach einer Stunde stattfindet, kam es zu Verbindungsabbrüchen.

Download von URL-Filter-Listen im UTF-8-Format

Listen im UTF-8-Format wurden bisher nicht importiert.

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

DKIM-Signaturen für E-Mails

Ausgehende Mails können jetzt mit DKIM signiert werden. Legen Sie dazu im Schlüsselbund einen neuen Eintrag vom Typ "RSA-Schlüssel (SSH, DKIM)" an und generieren Sie das Schlüsselpaar. Publizieren Sie dann den öffentlichen Schlüssel im DNS der zu signierenden Domain. Sobald Sie in der Domain-Konfiguration des Mail-Servers den DKIM-Schlüssel festlegen einer Domain festlegen, werden die ausgehenden Mails signiert. Haben Sie im DNS der Domain auch SPF konfiguriert? Dann können Sie nun auch einen DMARC-Eintrag im DNS hinterlegen.

Assistent für die Anbindung von Wireguard-Clients

Bisher gab es einen gemeinsamen Assistenten für die Anbindung von Routern und Clients. Aufgrund häufiger Fehlkonfiguration haben wir einen speziell auf die Anbindung von Clients abgestimmten Assistenten ergänzt.

Sicherheitslücken in diversen Komponenten

Das Update behebt weniger kritische Sicherheitslücken im Linux-Kernel, dem SSH-Server und in System-Bibliotheken.

Cluster-Dienst

Kleinere Bugfixes und Verbesserungen

Diverse Bugfixes für IPsec ab Version 7.2

Bei IPsec-Verbindungen über eine ADSL-Schnittstelle fehlte in bestimmten Konfigurationen nach dem Neuaufbau der ADSL-Verbindung eine Route. Die IPsec-Verbindung war in diesem Fall zwar aufgebaut, es konnten jedoch keine Daten übertragen werden.
Transparentes Proxying in ipsec-Schnittstellen funktionierte nur, wenn es mit Hilfe von DNAT-Regeln konfiguriert wurde. Die Häkchen für transparentes Proxying zeigten keine Wirkung.
IKEv2-Verbindungen zu Gegenstellen hinter einem NAT-Router wurden durch die Dead-Peer-Detection nicht neu gestartet, wenn sich die IP-Adresse des NAT-Routers ändert.

Absturz des Web-Proxies

Das Update behebt einen Fehler, über den ein bösartiger Web-Server den Proxy zum Absturz bringen könnte.

Neue OpenVPN-Version

OpenVPN wird mit diesem Update aktualisiert. Bitte beachten Sie, dass in der neuen Version die Netzmaske für das Transfernetz ausreichend groß gewählt werden muss. Die Netzmasken 255.255.255.252 und 255.255.255.248 sind nicht mehr zulässig. Die Voreinstellung 255.255.255.0 ist mehr als ausreichend.

OpenVPN Benutzeranmeldung mit Passwort

Bisher wurden ausschließlich Einmal-Passwörter zur Benutzeranmeldung am OpenVPN-Server unterstützt. Ab sofort ist es auch möglich, sich nur mit dem Benutzerpasswort oder mit Benutzerpasswort und Einmal-Passwort anzumelden.

Individuelle Zugangsdaten für Mailversand über Provider-Relay

Je Absender-Adresse (Envelope-From) lassen sich jetzt individuelle SMTP-Zugangsdaten für den Versand ausgehender Mails konfigurieren.

Unterstützung für indirekte Netze im DHCP-Server

Der DHCP-Server für IPv4 kann nun auch für Netzwerke eingesetzt werden, die über ein DHCP-Relay kommunizieren müssen.

Netzwerk 239.255.255.0/24 auf Bridge-Schnittstellen

Für Multicast-Pakete zu IPs aus dem Netz 239.255.255.0/24 muss keine Route mehr konfiguriert werden.

Diverse Systemkomponenten

Aktualisiert werden u.a. der Web-Server und das Archivierungswerkzeug tar. Dadurch behobene Sicherheitslücken befinden sich in nicht genutzten Teilkomponenten.

Kleinere Bugfixes und Verbesserungen

IPsec-L2TP und IPsec mit IPComp Komprimierung

Bei IPsec-L2TP-Verbindungen kam es bei manchen Installationen zu sporadischen Routing-Fehlern. Bei IPsec mit aktivierter Komprimierungsoption wurden einzelne Pakete fälschlicherweise von der Firewall verworfen.

Nutzung des Windows Zertifikatsspeichers mit OpenVPN

Neue Varianten der Windows-Installationspakete für OpenVPN können das Schlüsselpaar im Zertifikatsspeicher von Windows ablegen. Für normale Verbindungen wird der Zertifikatsspeicher des Benutzers verwendet. Bei Paketen für PLAP/SBL (Start-before-Login) muss der Schlüssel im Zertifikatsspeicher des Computers abgelegt werden.

Automatischer Download von URL-Listen

Bisher konnten URL-Filter-Listen nur manuell gepflegt oder manuell importiert werden. Jetzt lassen sich auch URL-Filter-Listen anlegen, die regelmäßig URL-Listen von einem Web-Server herunterladen. Die Listen dürfen dabei ganze Domains, URLs, IP-Adressen und Suchmuster wie z.B. "example.*" enthalten.

Kleinere Bugfixes und Verbesserungen

Sicherheitslücken in Web-Proxy

Im Web-Proxy wurden diverse Sicherheitslücken behoben. Besonders kritisch ist die Möglichkeit für einen Angreifer eigenen Code zur Ausführung bringen, sofern Benutzeranmeldung mit Digest-Authentifizierung aktiviert ist. Über eine weitere kritische Lücke war es möglich, Anfragen oder Antworten mittels widersprüchlicher Angaben durch den Proxy zu schmuggeln.

IPsec Verbindungen zu Clients

In Version 7.2-1.0 wurden Verbindungen vom Typ "Windows IKEv2" wegen eines Fehlers in der Konfiguration nicht geladen. Gleiches galt für Verbindungen vom Typ "Client", wenn IKEv2 als Protokoll ausgewählt und keine virtuelle IP konfiguriert war.
Beim Erstellen von Installationspaketen für Windows IPsec-L2TP (Powershell) wurden fälschlicherweise Installationspakete für Windows IKEv2 ausgeliefert.

Wireguard DNS-Suffix

Beim Erstellen von Wireguard-Konfigurationen für Gegenstellen lässt sich jetzt ein DNS-Suffix angeben.

Kleinere Bugfixes und Verbesserungen

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany